Teile der Regelungen in der DSGVO sind eine Fortführung der bereits bestehenden Datenschutzrichtlinien wie: Verarbeitung nach Treu und Glauben, Rechtmäßigkeit und Transparenz; Zweckbindung; Datensparsamkeit; Datenqualität; Sicherheit, Integrität und Vertraulichkeit.
Allerdings wird die Rechenschaftspflicht für Verantwortliche verschärft, die Einhaltung der Grundsätze nachweisen zu können. Darüber hinaus werden die derzeitigen Vorgaben in der DSGVO erweitert:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Personenbezogene Daten müssen nun ausdrücklich so verarbeitetet werden, dass es für die betroffene Person nachvollziehbar ist.
Zweckbindung – Mit Einschränkungen ist die Weiterverarbeitung personenbezogener Daten für Archivzwecke, die im öffentlichen Interesse stehen, nicht unvereinbar mit dem ursprünglichen Zweck der Verarbeitung.
Speicherung – Personenbezogene Daten müssen so gespeichert werden, dass die Identifizierung der betroffenen Person nur so lange ermöglicht wird, wie es für die Zwecke der Verarbeitung notwendig ist.
Rechenschaftspflicht – Der Verantwortliche ist für die Einhaltung der Grundsätze und den Nachweis der Einhaltung verantwortlich.
Organisatorische Strukturanforderungen
Nach Vorgaben der DSGVO müssen Sie eine Reihe an Maßnahmen umsetzen, um die Risiken einer Datenschutzverletzung zu minimieren und nachzuweisen, dass Sie Daten-Management ernst nehmen. Zu den erforderlichen Maßnahmen im Rahmen der Rechenschaftspflicht zählen: Datenschutz-Folgenabschätzung, Überprüfungen, Tätigkeitsberichte und (gegebenenfalls) Benennung eines Datenschutzbeauftragten.
DatenschutzbeauftragterLaut DSGVO sind bestimmte Organisationen nun verpflichtet, einen Datenschutzbeauftragten zu benennen, zum Beispiel einen Mitarbeiter oder externen Dienstleister.
Besitzt Ihr Unternehmen beispielsweise eine große Kundendatenbank, kommen Sie nicht umhin, einen Datenschutzbeauftragten zu ernennen. Entsprechendes Fachwissen wird dabei vorausgesetzt.
Zu den Aufgaben des Datenschutzbeauftragten gehört die Überwachung der Einhaltung der Verordnung, Aufklärung über Pflichten und Handlungsempfehlungen bezüglich der Datenschutz-Folgenabschätzung. Darüber hinaus fungiert er als Anlaufstelle für die Aufsichtsbehörde und Einzelpersonen.”
One-Stop-Shop-Prinzip
Das One-Stop-Shop-Prinzip ermöglicht einer Organisation mit mehreren Niederlassungen in der EU, im Bedarfsfall nur eine nationale Aufsichtsbehörde adressieren zu müssen. Die Regeln zur Bestimmung dieser Aufsichtsbehörde und zum Umgang mit Beschwerden sind teilweise jedoch sehr komplex.
Verarbeitungen, Verfahren und Maßnahmen
Verletzung des Schutzes personenbezogener DatenIn der DSGVO wird die Verletzung des Schutzes personenbezogener Daten neu definiert als die “Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zu Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugriff zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurde”.
Diese Definition ist weiter gefasst als zuvor und berücksichtigt nicht, ob die betroffene Person durch die Verletzung geschädigt wurde. Kommt es in Ihrem Unternehmen zu einer Datenschutzverletzung, müssen Sie Ihre nationale Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informieren.
Wurden angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten implementiert – wie z.B. Verschlüsselung – müssen Sie betroffene Personen allerdings nicht informieren.
Datenschutz durch Technikgestaltung
Ein wichtiger Bestandteil zur Erfüllung der DSGVO ist Datenschutz durch Technikgestaltung, d.h. die Berücksichtigung der Datenschutzanforderungen bei der Entwicklung neuer Verarbeitungstätigkeiten und Produkte. Galt dieser Ansatz zuvor als Best Practice, ist er nun ausdrückliche Vorschrift.
Datenschutz-Folgenabschätzung
Bei Verarbeitungsvorgängen, die wahrscheinlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sind, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen, mit der Ursache, Art, Besonderheit und Schwere des Risikos evaluiert wird.
Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, die das Risiko eindämmen.
Internationale Datenübermittlung (gruppenintern/an externe Entitäten)
Sind Sie international tätig, sollten Sie Ihre Vorschriften und Prozesse für die Datenübermittlung an Drittländer prüfen. Die Strafen für eine Nichteinhaltung der Verordnung oder für eine Datenübermittlung in Rechtssysteme, deren Richtlinien von der Europäischen Kommission als unzureichend angesehen werden, sind sehr hoch.
Sensibilisierung für Datenschutz
Interne Maßnahmen – Schulung der MitarbeiterEs ist höchste Zeit, Ihre Mitarbeiter für die Vorschriften der DSGVO zu sensibilisieren. Darüber hinaus ist es entscheidend, Ihre Verfahren entsprechend der neuen Transparenzforderungen und persönlichen Rechte von Betroffenen zu überarbeiten. Dies kann erhebliche Auswirkungen auf Ihre Finanzen, IT und Schulungen haben.
Rechenschaftspflicht – technische Maßnahmen
Die DSGVO nimmt Verantwortliche in die Pflicht, die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen zu können. Sie müssen bei möglichen Anfragen einer nationalen Aufsichtsbehörde klare Richtlinien vorweisen, die den geforderten Standard einhalten. Dies betrifft die Überwachung, Prüfung und Bewertung Ihrer Datenverarbeitungsprozesse, die Umsetzung von Schutzmaßnahmen und umfassende Schulungen der Mitarbeiter zu ihren Pflichten.
Datenschutzverletzung – technische Maßnahmen
Beugen Sie unter Einsatz von angemessenen Maßnahmen und getesteten Verfahren Datenschutzverletzungen vor (definiert als “eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden”), um schnell reagieren und einen Vorfall gemäß der Vorschriften umgehend melden zu können.
Erfolgt die Schadensmeldung nicht im geforderten Zeitraum, sieht das Gesetz hohe Strafen und Bußgelder vor.
Gewährleistung der Rechte betroffener Personen
Die DSGVO stärkt die Rechte betroffener Personen, zum Beispiel mit dem Recht auf Auskunft zu ihren erhobenen Daten, dem Recht auf Zugang unter bestimmten Umständen sowie dem Recht auf Berichtigung der Informationen.
Auskunftsrecht der betroffenen PersonenEines der Hauptziele der DSGVO besteht darin, die Rechte und Freiheiten natürlicher Personen zu stärken. Damit ändern sich auch die Regeln für den Umgang mit Anträgen zur Einsichtnahme. Achten Sie darauf, dass Sie die Änderungen in Ihren Prozessen abbilden.
So haben Personen das Recht auf Angabe seitens des Verantwortlichen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben sie ein Recht auf Auskunft über diese Daten und verschiedene weitere Informationen.
Recht auf Löschung (Recht auf Vergessenwerden)
Das Recht auf Vergessenwerden erlaubt Personen, von Verantwortlichen unter gewissen Umständen die Löschung sie betreffender personenbezogener Daten zu verlangen, zum Beispiel wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder Betroffene ihre Einwilligung widerrufen.
Wurden die Daten mit Dritten geteilt, müssen auch sie davon in Kenntnis gesetzt werden, dass die betroffene Person die Löschung verlangt hat.
Automatisierte Entscheidungen und Profiling
In der DSGVO wird Profiling definiert als “jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen”. Betroffene Personen haben das Recht, nicht einer ausschließlich automatisierten Entscheidung – einschließlich Profiling – unterworfen zu werden. Wie genau dieses Recht durchgesetzt werden soll, ist allerdings nicht ganz klar.
Datenübertragbarkeit
In der DSGVO wird das Recht auf Datenübertragbarkeit eingeführt, das über das Auskunftsrecht hinausgeht. Betroffene Personen können von Verantwortlichen die Bereitstellung sie betreffender personenbezogener Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen und haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.
Diese Regelung gilt allerdings nur für Informationen, deren Verarbeitung mithilfe automatisierter Verfahren erfolgte.
Widerspruchsrecht (einschließlich Widerspruch gegen Direktwerbung)
Die Europäische Kommission räumt Personen ein Widerspruchsrecht auf die Verarbeitung personenbezogener Daten ein. Werden die Daten beispielsweise verarbeitet, um Direktwerbung zu betreiben, können betroffene Personen jederzeit Widerspruch dagegen einlegen. Das gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so dürfen Sie die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
Organisationen müssen betroffene Personen ausdrücklich auf ihr Widerspruchsrecht hinweisen; dieser Hinweis muss verständlich sein und in einer von anderen Informationen getrennten Form erfolgen.
Vermittlung von Datenschutz-Informationen
(Einwilligung, Aufklärung über Verarbeitung)
Datensicherheit (Integrität und Vertraulichkeit)
In der DSGVO wird ein Teil der Datenschutzregeln aus den bestehenden Vorgaben beibehalten, wie z.B.: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Datenqualität; Sicherheit, Integrität und Vertraulichkeit.
Sie müssen sicherstellen, dass die Verarbeitung personenbezogener Daten stets angemessen geschützt ist, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigter Zerstörung, Schädigung oder unbeabsichtigtem Verlust: “der Verantwortliche und der Auftragsverarbeiter [treffen] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten”.
In der Verordnung werden eine Reihe an Maßnahmen genannt, mit denen die Datensicherheit gewährleistet werden soll, einschließlich: Pseudonymisierung und Verschlüsselung; Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung, wie wirksam die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit in der Informationsverarbeitung sind.
VerschlüsselungDie DSGVO nennt ausdrücklich Verschlüsselung als eine Methode zur Einhaltung einiger Regelungen.
Artikel 32 – Sicherheit der Verarbeitung:
“1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten (…)”.
Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person:
“3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung (…)”.
Datendokumentation, Rechtmäßigkeit und Überprüfungen
Existenz und Klassifizierung von personenbezogenen DatenSie sollten dokumentieren, über welche personenbezogenen Daten Sie verfügen, woher sie kommen und mit wem Sie sie teilen.
Verfügen Sie über unrichtige personenbezogene Daten und haben Sie sie darüber hinaus mit einer anderen Organisation geteilt, so fordert die DSGVO, dass Sie die andere Organisation über die Fehlerhaftigkeit der Daten informieren, damit sie ihre Datensätze korrigieren kann. Hierfür sollten Sie unter Umständen eine unternehmensübergreifende, alle Geschäftsbereiche einbeziehende Informationsprüfung durchführen. Damit tragen Sie auch zur Einhaltung der Rechenschaftspflicht bei.
Rechtmäßigkeit der Verarbeitung personenbezogener Daten
Denn je nach Rechtsgrundlage für die Verarbeitung personenbezogener Daten ändern sich mit Inkrafttreten der DSGVO bestimmte Rechte des Einzelnen. So haben Personen ein stärkeres Recht auf Datenlöschung, wenn Sie die Einwilligung als Rechtsgrundlage für Verarbeitung verwenden. Einwilligung ist einer von vielen Wegen, die Rechtmäßigkeit der Verarbeitung zu gewährleisten, aber nicht immer der beste (siehe Widerspruchsrecht).
